IT-Sicherheit
Was bedeutet IT-Sicherheit?
IT-Sicherheit ist ebenso wie Datenschutz und Datensicherheit ein Teilbereich der Informationssicherheit. Diese umfasst den Schutz von Daten im Allgemeinen. Das gilt sowohl für die digitale als auch für die analoge Verarbeitung und auch für das Versenden von Daten über das Internet.
IT-Sicherheit ist die Summe aller Maßnahmen zur Datensicherung im EDV-Bereich. Digitale Informationen werden so vor Vernichtung, Missbrauch oder Diebstahl geschützt. Das betrifft sowohl die PC-Sicherheit für Privatpersonen als auch IT-Sicherheitskonzepte eines Unternehmens und deren Umsetzung durch die Mitarbeiter im Sinne des Bundesdatenschutzgesetzes (BDG) und der Datenschutz-Grundverordnung (DSGVO).
Mittels Data Protection werden sowohl die Daten an sich geschützt als auch die Software, mit der sie verarbeitet werden. Schwachstellen in den verwendeten Systemen müssen erkannt und kompensiert werden. Um den Schutz von Informationen zu gewährleisten, bedarf es auch der Sicherheit von App, Cloud, Betriebssystem oder Website.
Data Protection ist jedoch nur ein Teil der IT-Sicherheit. Neben der Datensicherung steht hier auch der Bereich IT-Systeme im Fokus. Das gilt sowohl für technische Geräte als auch für IT-Infrastrukturen. Damit berührt die IT Security teilweise auch das Themenfeld Funktionale Sicherheit.
Data Protection: Grundprinzipien der IT-Sicherheit
Um Schutz im Bereich digitale Daten zu gewährleisten, haben sich im Bereich IT-Sicherheit Grundlagen in der Wirtschaft etabliert. Alternativ wird auch von Schutzzielen gesprochen. Diese sogenannten IT Security Essentials sind die Basis für die Maßnahmen, die zum Schutz von
- Informationen auf PCs,
- mobilen Devices,
- Datenbanken,
- Netzwerken
- und Daten im Internet
getroffen werden.
Vertraulichkeit von Informationen
Dieses Ziel der IT-Sicherheit ist eng mit dem Datenschutz verknüpft. Vertrauliche Informationen können zum Beispiel Interna eines Unternehmens sein. Handelt es sich jedoch um personenbezogene Daten von Kunden, Mitarbeitern oder Geschäftspartnern, muss die DSGVO angewendet werden.
Durch entsprechende Maßnahmen soll sichergestellt werden, dass Daten in Datenbanken vor dem Zugriff Unbefugter geschützt sind. Auch die E-Mail-Sicherheit und sonstige digitale Konversation spielen eine Rolle. Durch unzureichenden Schutz können sensible Daten durch Cyber-Angriffe gestohlen oder durch einen unachtsamen Mitarbeiter nach außen getragen werden. Hier kommen firmeneigene Datenschutzrichtlinien und IT-Sicherheitskonzepte zum Tragen.
Integrität von Daten
Ähnlich wie bei der Vertraulichkeit geht es bei diesem Grundprinzip der IT-Sicherheit um Zugriffsberechtigungen. Werden bestehende digitale Daten bearbeitet, gelöscht oder zu einem Datensatz neue Einträge hinzugefügt, soll sicher sein, dass die Änderung verifizierbar ist. Es muss also gewährleistet werden, dass nur Personen Maßnahmen zur Datenänderung vornehmen, die dazu qualifiziert sind. Das wird in der IT-Sicherheit über entsprechende Berechtigungen geregelt. Darüber hinaus muss die Änderung von Daten nachvollziehbar sein. Dazu müssen zum Beispiel technische Möglichkeiten geschaffen werden, um neue Einträge oder Löschvorgänge im Nachhinein rekapitulieren zu können.
IT Security durch Zurechenbarkeit
Das Prinzip der Zurechenbarkeit ist eng mit dem Prinzip der Integrität verknüpft. Wurden Daten geändert oder aktuelle Einträge hinzugefügt, muss ersichtlich sein, welchem Mitarbeiter die Bearbeitung der Daten zuzurechnen ist. Auf diesem Wege kann später u.a. nachvollzogen werden, warum die Änderungen vorgenommen wurden.
Oft wird aus Gründen der Sparsamkeit entgegen den Geboten der IT-Sicherheit eine App oder ein Netzwerk von mehreren Mitarbeitern über ein und denselben Zugangsaccount genutzt. Das birgt nicht nur Risiken für die Netzwerksicherheit: Auf diese Weise können Datenbearbeitungen nicht identifiziert werden. Um Data Protection zu gewährleisten, sollte sichergestellt werden, dass jeder Nutzer seinen eigenen Zugang zu einer Software oder zu einem Netzwerk erhält. Alternativ kann auch eine Dokumentationspflicht zur Anwendung kommen.
Verfügbarkeit: Informationen und Systeme
Ein Ziel der IT-Sicherheit ist es, den Zugriff auf digitale Daten möglichst lückenlos zu gestalten. Dazu muss zum Beispiel eine Hardware in einem IT-System möglichst unterbrechungsfrei an ein Netzwerk angebunden sein. Das Grundprinzip der Verfügbarkeit betrifft also die Instandhaltung von Netzwerken genauso wie die Wartung und Reparatur von technischen Systemen. Die Ausfallzeit (also die Zeit, in der Daten nicht verfügbar sind) sollte möglichst gering gehalten werden.
Mittels Information Security Management kann außerdem festgelegt werden, zu welchen Zeitpunkten Systeme oder ein bestimmter Bereich der Systeme zum Beispiel wegen Wartung offline geschaltet wird. Durch diese Maßnahme ist ein Unternehmen in der Lage, die Verfügbarkeit von Daten sicher zu steuern. Ein kontrollierter Ausfall von Daten kann Risiken minimieren. Auf diese Weise lässt sich die Verfügbarkeit von Informationen zum Beispiel zu einem Zeitpunkt einschränken, an dem der wirtschaftliche Schaden durch einen Ausfall gering ist.
Warum ist die IT-Sicherheit wichtig?
Eine Firma verfügt über viele Ressourcen. Neben Investmentkapital und Warenbeständen sind auch Mitarbeiter und Infrastrukturen wichtige Grundlagen für einen wirtschaftlichen Erfolg. Eine weitere Ressource, die im Zeitalter der Digitalisierung immens an Bedeutung gewonnen hat, sind Daten. Produktionsprozesse, Rechnungswesen, Auftragsbearbeitung, Kundensupport, Akquise: Die Basis für all diese Geschäftsabläufe sind digitale Daten. Sie stellen für ein Großteil aller Unternehmen weltweit ein großes Kapital dar. Der Markt für Datenbankentwickler boomt.
Das haben auch Kriminelle erkannt. Sie nutzen Schwächen in der IT Security, um Daten für ihre Zwecke zu missbrauchen. Das geschieht durch gezielte Angriffe in Form von Datendiebstahl, Industriespionage, Identitätsdiebstahl oder Erpressung. Die Datendiebe müssen nicht zwingend auch Erpresser sein. Der Handel mit digitalen Daten blüht. Die Drahtzieher der Cyber-Angriffe sind meistens nicht ausfindig zu machen.
Herausforderungen für die Data Protection
Welches Risiko ist das größte Risiko für IT-Systeme? Der deutschen Wirtschaft entstehen jährlich Schäden im Wert von 203 Milliarden Euro durch den Diebstahl von IT-Equipment, Datenmissbrauch und Spionage. Einer Bitkom-Umfrage zufolge waren in den Geschäftsjahren 2020/2021 in Deutschland 88 Prozent aller Unternehmen Opfer von einem Cyberangriff. Es wird geschätzt, dass im Jahr 2022 noch mehr Firmen betroffen sind. Abgesehen von den Risiken, die technische Schwachstellen in puncto Datensicherung und Datenverlust darstellen, sehen sich im Bereich IT-Sicherheit Unternehmen einer weitaus größeren Gefahr gegenüber: Cyberattacken.
Cyberkriminelle stehlen nicht nur Daten: Sie manipulieren sie, zerstören sie oder machen eine Datensicherung via Software unmöglich. Computerviren, Würmer, Phishing - um die IT-Sicherheit im Unternehmen zu gewährleisten, ist es wichtig, aktuelle Bedrohungen identifizieren zu können.
Malware
Bedrohungen
- Datendiebstahl
- Löschung oder Manipulation von Daten
- Schädigung von Software und Hardware
Maßnahmen
- Firewall
- Antiviren-Software
- Sicherheits-Updates
- E-Mail-Filter
- Sicherheits-Backups
Phishing
Phishing ist eine Methode des Datendiebstahls. Unter Vortäuschung falscher Tatsachen werden Nutzer via E-Mail, Kurznachricht oder gefälschter Website animiert, sensible Daten in ein digitales Formular einzugeben. - Identitätsdiebstahl
Bedrohungen
- Plünderung von Bankkonten
- Missbrauch von Online-Accounts
Maßnahmen
- Verschlüsselte Verbindung
- Auf Echtheit von Kontakten achten
- Links prüfen
- Konzepte für IT-Sicherheit
Social Engineering
Bei dieser Betrugsmasche werden Mitarbeiter eines Unternehmens persönlich angesprochen. Kontaktaufnahme erfolgt zumeist via E-Mail oder Telefon. Unter Vortäuschung einer falschen Identität werden plausibel wirkende Kausalitäten vorgetäuscht, zumeist in Verbindung mit einer engen zeitlichen Frist. Auf diese Weise wird die IT-Sicherheit umgangen. - Veranlassung zur Preisgabe sensibler Daten
Bedrohungen
- Veranlassung zu finanziellen Transaktionen zulasten der Firma
- Erpressung von Lösegeld
- Datenverlust, selbst bei Zahlung von Lösegeld
Ransomware
Sie gelangt auf demselben Weg wie Malware auf Devices und in Systeme. Bei einem Ransomware-Angriff werden Daten auf dem Device oder in einer Cloud durch die Schadsoftware verschlüsselt. Dem User ist der Zugriff verwehrt. - Erpressung von Lösegeld
Bedrohungen
- Datenverlust, selbst bei Zahlung von Lösegeld
Maßnahmen
- Firewall
- Antiviren Software
- Sicherheits-Updates
- E-Mail-Filter
- Sicherheits-Backups
IT Sicherheit im Unternehmen
Maßnahmen zu Data Protection sind heutzutage für ein Unternehmen unerlässlich. Dabei stehen sowohl die PC-Sicherheit als auch die Netzwerksicherheit im Fokus. Datenverluste oder Manipulationen können den gesamten Produktionsablauf aushebeln. Wurde gegen das Datenschutzrecht verstoßen, schädigt das den Ruf eines Unternehmens nachhaltig. Auch können sich Privat- und Geschäftskunden gezwungen sehen, die Geschäftsbeziehung zu beenden, wenn eine Firma nicht in der Lage ist, den Schutz sensibler Daten sicher zu garantieren.
Laut Erhebungen des Bundesministeriums für Wirtschaft nutzen nur 22 Prozent aller Unternehmen in Deutschland Verschlüsselungen für ihren E-Mail-Verkehr. Zwölf Prozent aller Firmen sind nicht mit Notfallplänen ausgestattet, die im Ernstfall IT-Sicherheit gewähren. Das kann ein Unternehmen im Endeffekt teuer zu stehen kommen.
Wer ist für IT-Sicherheit verantwortlich?
In den meisten Fällen ist ein Unternehmen im Sinne der Datenschutz-Grundverordnung seinen Kunden gegenüber verpflichtet, Informationssicherheit zu gewährleisten. Das gilt zum Beispiel für eine Website oder einen Onlineshop. Individuelle Softwarelösungen können hier Abhilfe schaffen. Sind sie sorgfältig entwickelt, bieten sie Hackern wenig Angriffsfläche.
Wenn aufgrund von Schwachstellen im IT-System eines Unternehmens Kundenrechner infiziert werden, kann die Firma theoretisch juristisch dafür verantwortlich gemacht werden. Das gilt auch für den Verlust, die Verfälschung oder den Missbrauch personenbezogener Daten. Hat ein Betrieb den Bereich IT Security oder seine gesamten IT-Infrastrukturen an eine Digitalagentur outgesourct, entbindet ihn das nicht automatisch von der Verantwortlichkeit.
Werden IT-Dienstleistungen externer Firmen in Anspruch genommen, sollten diese Dienstleister vor Beauftragung genauer unter die Lupe genommen werden. Arbeiten Sie DSGVO-konform? Erfüllen sie das Grundschutz-Kompendium des BSI für IT-Sicherheit? Welche Maßnahmen zur Data Protection werden konkret unternommen? Darüber hinaus liegt es immer im Interesse eines Unternehmens, eigene Maßnahmen in puncto IT-Sicherheit zu treffen.
Was ist der IT-Grundschutz?
Der IT-Grundschutz wird nach Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BMI) definiert. Er dient als Fundament für eine stabile Informationssicherheit von Institutionen und Unternehmen. Die Vorgaben berücksichtigen nicht nur technische und organisatorische Maßnahmen. Auch personelle Aspekte und die IT-Infrastruktur stehen im Mittelpunkt.
Ziel ist es, durch systematisches Vorgehen Schwachstellen in der IT-Sicherheit zu entdecken und diese anhand konkreter Maßnahmen der Data Protection zu beseitigen. Als methodische Grundlage dient das IT-Grundschutz-Kompendium. Dabei handelt es sich um eine Sammlung von Maßnahmen zur IT-Sicherheit, die jährlich vom BSI überarbeitet wird. Es sind also stets aktuelle Informationen enthalten.
Das IT-Grundschutz-Kompendium ist außerdem eine Grundlage für eine BSI-Zertifizierung. Dieser Leitfaden zur IT-Sicherheit kann auf der Website des BSI als PDF heruntergeladen werden.
Was bedeutet BSI-Zertifizierung?
Bei einer BSI-Zertifizierung wird im Rahmen der IT-Sicherheit ein unabhängiger Test seitens des BSI durchgeführt. Grundlagen sind entsprechende Normen der EU zur Cybersecurity. Es gibt in Deutschland zwei Arten von BSI-Zertifizierungen:
- Zertifizierung von Produkten
- Zertifizierung vom IT-Sicherheit-Managementsystem einer Firma
Mit den Zertifikaten will das BSI die IT-Sicherheit in Unternehmen stärken. Das geschieht zum Beispiel, indem sich die Firmen für eine erfolgreiche Zertifizierung intensiv mit den Themen IT-Security und Informationssicherheit auseinandersetzen müssen. Darüber hinaus tragen die Zertifikate auch zur Verbesserung des Qualitätsmanagements und der Kundenbindung bei. Für Verbraucher, denen die Sicherheit ihrer Daten wichtig ist, kann ein BSI-Siegel kaufentscheidend sein. Ähnlich verhält es sich auch mit der ISO 27001-Zertifizierung.
Was bringt ISO 27001?
ISO 27001 ist eine Norm der International Organisation for Standardisation. Wie das BSI-Zertifikat definiert auch ISO 27001 Grundsätze eines IT-Sicherheit-Managementsystems. Es gelten diverse Bestimmung für die Einführung, die Überwachung und die Verbesserung der IT-Sicherheit eines Unternehmens.
Ziel und Vorgehensweise beider Organisationen sind sich teilweise bis in Details sehr ähnlich. Diverse Abweichungen gibt es jedoch bei den einzelnen Anforderungen. Das BSI-Grundschutz-Kompendium beinhaltet zum Beispiel viele detaillierte Richtlinien. Bei der Erlangung einer ISO 27001-Zertifizierung sind einem Unternehmen dagegen mehr Freiheiten überlassen. Außerdem orientiert sich diese Norm in puncto IT-Sicherheit mehr an Geschäftsprozessen. Ob und welche Zertifizierungen Sinn machen, lässt sich jedoch nicht pauschal mit Sicherheit sagen. Das muss jedes Unternehmen für sich entscheiden.
IT-Sicherheitskonzepte
Ein IT-Sicherheitskonzept ist eine schriftliche Vorgabe zur Umsetzung der IT-Sicherheit in einer Firma oder einer Institution. Es handelt sich um konkrete Richtlinien, die für die Mitarbeiter eines Unternehmens bindend sind. Damit soll einerseits ein wirtschaftlicher Schaden verhindert und andererseits die DSGVO konforme IT-Sicherheit gewährleistet werden, zu der Firmen in Deutschland verpflichtet sind.
Die drei Säulen der IT-Sicherheit
Grundlage für IT-Sicherheitskonzepte sind die drei Säulen:
- Prävention
- Erkennung
- Reaktion
Die präventiven Maßnahmen nehmen bei der IT Security den größten Raum ein. Der Ansatz verfolgt das Ziel, Datenpannen von vornherein zu verhindern.
Die Säulen Erkennung und Reaktion legen Maßnahmen fest, um Schwachstellen und erfolgte Datenpannen zu erkennen und entsprechend zu reagieren. Ist zum Beispiel Schadsoftware auf einem Rechner festgestellt worden, empfiehlt es sich, das Gerät sofort vom Netzwerk zu trennen, um Data Protection zu gewährleisten. Computerviren und ähnliche Malware können sich rasend schnell verbreiten und auch andere PCs im Firmennetzwerk infizieren.
Wie sieht ein IT-Sicherheitskonzept aus?
Als Grundlage für ein Konzept kann eine Checkliste für IT-Sicherheit des BSI herangezogen werden. Vor allem, wenn eine entsprechende Zertifizierung angestrebt wird. Generell ist ein Unternehmen bei der Erstellung eines Konzepts zur IT-Sicherheit jedoch an keine Weisungen gebunden. Voraussetzung ist allerdings, dass der Datenschutz im Sinne der DSGVO gewährleistet ist.
Wie erstelle ich ein IT-Sicherheitskonzept?
Wie umfangreich ein Konzept zur IT-Sicherheit gestaltet wird, hängt von der Größe und der IT-Struktur eines Unternehmens ab. Ein wichtiger Baustein ist die Datenschutz-Grundverordnung der EU. Weiterhin muss eine Analyse möglicher Schwachstellen und Risiken erfolgen. Außerdem muss identifiziert werden, welche Daten Schutz durch Data Protection benötigen und wo sich diese Informationen befinden. Im Anschluss werden diverse Maßnahmen festgelegt. Ausschlaggebend sind dabei drei Faktoren:
- Technische Maßnahmen
Die technischen Maßnahmen betreffen Hardware und Software eines Unternehmens: Sind alle Geräte intakt? Ist die Software aktuell und verfügt über die nötigen Sicherheits-Updates? Wie kann gewährleistet werden, dass alle Komponenten auf dem neuesten Stand sind? Welche Maßnahmen können getroffen werden, um Datenpannen aufgrund von Hardware- oder Softwareproblemen zu vermeiden? - Organisatorische Maßnahmen
Im Mittelpunkt der organisatorischen Maßnahmen steht der Umgang mit Daten. Wie werden sie ins System eingepflegt? Wie werden sie bearbeitet? Wie lassen sich diese Prozesse strukturieren, sodass Schwachstellen in der IT-Sicherheit vermieden werden? Wie kann für eine lückenlose Dokumentation dieser Prozesse gesorgt werden? - Personelle Maßnahmen
Egal ob es sich um Konzerne, KMU oder IT-Dienstleister handelt: Die größte Schwachstelle im Bereich Data Protection ist der Mensch. Durch unterlassene Präventionsmaßnahmen, zu spätes Erkennen von Schwachstellen oder unbedachtes Anklicken von Links können Mitarbeiter die Sicherheit von Daten gefährden. Auch in diesem Bereich sollten konkrete Maßnahmen getroffen werden. Das können zum Beispiel eingeschränkte Berechtigungen zu Software oder Netzwerken sein. Auch regelmäßige Schulungen im Bereich IT-Sicherheit sind empfehlenswert.
TenMedia garantiert IT-Sicherheit
Datenschutz und IT Security werden bei TenMedia großgeschrieben. Seit 2011 entwickeln wir individuelle Softwarelösungen, Datenbank-Software und Cloud-Anwendungen. Auch wer sich eine App entwickeln lassen möchte, ist bei uns goldrichtig. Zu unseren umfangreichen Leistungen gehören außerdem Services wie Monitoring oder Hosting.